利用图片链接完成注入渗透
最近危险漫步闲着无聊就访问外国网站去国外看了一看黑客新闻,有一条新闻引起了我的关注,那就是国外某黑客黑了Word文档,导致了一家公司损失了数千万美金,整个事件我就不多说了,大家可以去去谷歌查看。
这次危险漫步要和大家讲的就是黑客与Word之间的故事。
Word经常被黑客利用来做一些黑产,这个事情我是知道的,但是我一直没有当回事我觉得这些都是小打小闹,可是当我自己真的开始实际操作的时候却发现,原来这里面真的是别有洞天啊~~
打一个简单的比方就是,在进行Web应用渗透测试的时候,Word文档极有可能被用于抓取NetNTLM哈希或用来证明网络出口过滤不严等等一系列的问题。
OK,现在步入正题,进入我们今天的主题,利用图片链接完成注入渗透
这次我打算用直播的方式来和大家播报一下我这次的渗透注入之旅。
第一步,我们需要打开菜单栏上的“插入”选项卡并单击“图片”图标。这个时候会弹出资源管理器窗口。在文件名字段中输入一共恶意URL,并点击“插入”下拉菜单选择“链接到文件”。这样就成功插入了一个burp collaborator的链接。
为了提高这个恶意URL的隐蔽性,我们还可以利用Layout来根据时间情况调整图片的大小,提高图片的隐蔽性。
现在我们只要确保已将更改保存到文档中。那么无论何时打开此文档,Microsoft Word都会尝试解析文档中的图像链接。这些请求都将在Burp Collaborator客户端中被记录。
接下来来,进入第二步操作,如何利用UNC注入来抓取NetNTLM哈希值
我利用的方法就是利用7zip用来提取Word文档中所包含的文件。这个时候就要开始修改文件了,文件路径为:your_word_doc.docxword\_relsdocument.xml.rels。
这个文件包含了一系列的相互关联性目标,我们需要做的就是将相关的目标值设置为侦听主机的UNC路径。
请点击此处输入图片描述
OK,现在设置好了,我们现在需要做的就是保存该文件并使用7zip将其复制到word文档中。
这个时候只要有人打开了Word文档,那么Inveigh或Responder将会捕获传入的身份验证请求。
PS C:> Invoke-Inveigh -NBNS N -LLMNR N -ConsoleOutput Y -IP 192.168.0.2 Inveigh 1.3.1 started at 2017-12-19T17:22:26 Elevated Privilege Mode = Enabled WARNING: Windows Firewall = Enabled Primary IP Address = 192.168.0.2 LLMNR Spoofer = Disabled mDNS Spoofer = Disabled NBNS Spoofer = Disabled SMB Capture = Enabled WARNING: HTTP Capture Disabled Due To In Use Port 80 HTTPS Capture = Disabled Machine Account Capture = Disabled Real Time Console Output = Enabled Real Time File Output = Disabled WARNING: Run Stop-Inveigh to stop Inveigh Press any key to stop real time console output
我之所以选用这种方法的主要原因就是,其隐蔽性非常的高。一旦文档被打开就会发出请求,且不会向用户显示和提醒可能的恶意URL或UNC路径。
上述的方法虽然用起来很简单,但是效果却是非常的棒的~~由此也证明了一个事情,那就是技术结合上一颗善于发现的心灵,那么在黑客这条路上你将无往不利~~